Brain Test

Brain Test — вредоносное ПО, маскирующееся под приложение для теста IQ. Распространялось как приложение для ОС Android и было доступно для свободного скачивания через официальный магазин приложений «Google Play» с августа 2015 года вплоть до 15 сентября 2015 года^[1]^[2]. Вирус впервые был обнаружен компанией Check Point^[2].

Brain Test был загружен в официальный магазин приложений дважды, и оба раза встроенный антивирус площадки не смог обнаружить в нём признаки вредоносного ПО. После первого удаления, произошедшего 24 августа 2015 года, вирус был повторно загружен в Google Play, но уже в обфусцированном виде.

В отличие от более ранних вирусов на мобильных системах, данное вредоносное ПО также включало в себя руткит^[3].

Согласно эксперту из Check Point, программа, вероятно, была написана китайским хакером с использованием инструмента от Baidu, предназначенного обфускации архивов. Компания Eleven Paths, принадлежащая Telefonica, обнаружила сходства с другими вирусами в виде: схожих рекламных идентификаторов, обращению к одинаковым доменам, а также использовании общих изображений форматов jpg и png^[4].

Впервые программа была обнаружена на смартфоне Nexus 5 с помощью мобильного антивируса от компании Check Point. Исследователей насторожил тот факт, что антивирус не смог удалить программу сразу, что сразу поставило Brain Test в ранг необычных угроз.

Если Brain Test уже был установлен, то, вероятно, единственным эффективным методом лечения является полный сброс памяти смартфона, с последующей перепрошивкой операционной системы.

Функции

Вредоносное ПО распространялось в двух, идентичных формах, при этом обфускация кода присутствовала только во втором.

Вирус имел ряд особенностей:

Возможность уклонения от обнаружения встроенным антивирусом Google Play — Google Bouncer. Программа избегает вредоносного поведения на серверах Google с IP-адресами 209.85.128.0-209.85.255.255, 216.58.192.0-216.58.223.255, 173.194.0.0-173.194.255.255 или 74.125.0.0-74.125.255.255 или доменными именами «google», «android» или «1e100».
Наличие нескольких рутирующих эксплойтов. В программе были обнаружены четыре различных эксплойта для получения root-доступа к системе, с целью более надёжного укоренения, даже в смартфонах тех производителей, использующих иные пути доступа к правам суперпользователя^[5].
Внешнее расположение вредоносного кода. Система использовала до пяти внешних серверов для предоставления различного вредоносного кода, в первую очередь связанного с демонстрацией навязчивой рекламы.
Запаковка кода и временная задержка перед его открытием. Основной код вируса находится в звуковом файле, и распаковывается с некоторой задержкой.
Двойная установка и защита от удаления. Устанавливается одновременно две копии вредоносного ПО. Если одна из них удаляется, другая переустанавливает её из вышеупомянутого внешнего источника.

Примечания

↑ Graham Cluley. Malware hits the Google Play Android app store again (and again) (неопр.) (23 сентября 2015).
↑ ¹ ² Polkovnichenko; Boxiner, Alon BrainTest – A New Level of Sophistication in Mobile Malware (неопр.) (21 сентября 2015). Дата обращения: 27 ноября 2015. Архивировано 25 ноября 2015 года.
↑ Cett. Brain Test malware more cunning than 1st thought (неопр.). GoMo News (2 ноября 2015). Дата обращения: 27 ноября 2015. Архивировано из оригинала 26 ноября 2015 года.
↑ Detailed coverage at Forbes Chinese Cybercriminals Breached Google Play To Infect 'Up To 1 Million' Androids (неопр.). Дата обращения: 9 июня 2023. Архивировано 9 июня 2023 года.
↑ Kerner. Malicious Brain Test App Thwarts Google Play Android Security (неопр.) (недоступная ссылка — история). eweek.com (21 сентября 2015). Дата обращения: 27 ноября 2015.

Ссылки

[1] Graham Cluley. Malware hits the Google Play Android app store again (and again) (неопр.) (23 сентября 2015).

[CheckPoint-2] ¹ ² Polkovnichenko; Boxiner, Alon BrainTest – A New Level of Sophistication in Mobile Malware (неопр.) (21 сентября 2015). Дата обращения: 27 ноября 2015. Архивировано 25 ноября 2015 года.

[3] Cett. Brain Test malware more cunning than 1st thought (неопр.). GoMo News (2 ноября 2015). Дата обращения: 27 ноября 2015. Архивировано из оригинала 26 ноября 2015 года.

[4] Detailed coverage at Forbes Chinese Cybercriminals Breached Google Play To Infect 'Up To 1 Million' Androids (неопр.). Дата обращения: 9 июня 2023. Архивировано 9 июня 2023 года.

[5] Kerner. Malicious Brain Test App Thwarts Google Play Android Security (неопр.) (недоступная ссылка — история). eweek.com (21 сентября 2015). Дата обращения: 27 ноября 2015.

[1]

[2]

[3]

[4]

[5]